Hasta el 2 de agosto de 2026 queda aproximadamente un mes — y es precisamente en este día cuando la Ley de IA de la UE deja de ser un reglamento "en papel" y obtiene poderes reales para imponer multas. Para todos aquellos que recopilan datos en la red — desde el entrenamiento de grandes modelos hasta la simple monitorización de precios — esta es una frontera, después de la cual las prohibiciones de recopilación de datos legibles por máquina obtienen por primera vez el peso del derecho de autor, y los proveedores de modelos de IA están obligados a revelar en qué se han entrenado. Analizamos qué cambia concretamente y a quién afecta en la práctica.
Qué entra en vigor el 2 de agosto de 2026
La Ley de IA de la UE se introdujo de manera gradual. Las prácticas prohibidas se volvieron inaplicables ya en febrero de 2025, y las obligaciones para los proveedores de modelos de propósito general (GPAI — inteligencia artificial de propósito general) entraron en vigor formalmente el 2 de agosto de 2025. Pero es el 2 de agosto de 2026 cuando el reglamento se vuelve completamente aplicable: se incluyen los requisitos para sistemas de alto riesgo y, lo más importante, el regulador obtiene la autoridad para multar por incumplimiento de las obligaciones de GPAI.
El tamaño de las sanciones es el siguiente:
- hasta €35 millones o el 7% de la facturación mundial — por prácticas prohibidas (lo que es más);
- hasta €15 millones o el 3% de la facturación mundial — por violaciones relacionadas con sistemas de alto riesgo y obligaciones de GPAI;
- hasta €7,5 millones o el 1% de la facturación — por proporcionar información incorrecta al regulador.
La acción del reglamento es extraterritorial: las obligaciones se aplican al proveedor independientemente de su ubicación, si el modelo se ofrece en el mercado de la UE. Una empresa de IA estadounidense o asiática, cuyo producto está disponible para los europeos, está sujeta a las mismas reglas.
Qué deben hacer los proveedores de GPAI
Hay tres obligaciones clave, y dos de ellas están directamente relacionadas con la recopilación de datos:
- Documentación técnica — descripción de la arquitectura del modelo, metodología y recursos de entrenamiento, disponible para los organismos de supervisión y desarrolladores de nivel inferior.
- Resumen público de los datos de entrenamiento — el proveedor está obligado a publicar una descripción "suficientemente detallada" del contenido en el que se entrenó el modelo, según un formato que emite la Oficina de IA. Este es el primer intento en el mundo de obligar a los desarrolladores de modelos a informar públicamente sobre las fuentes de datos.
- Política de cumplimiento de derechos de autor — el proveedor debe respetar los mecanismos de exclusión de text-and-data-mining (TDM) según el artículo 4 de la Directiva de derechos de autor 2019/790, incluidos los señales legibles por máquina.
Para modelos con riesgo sistémico (umbral de entrenamiento de 10^25 FLOPs), se añaden pruebas adversariales y un informe obligatorio sobre incidentes. Los modelos ya existentes en el mercado obtienen una prórroga: deben estar completamente conformes para el 2 de agosto de 2027.
robots.txt obtiene "peso" de derechos de autor
El cambio principal para la industria de recopilación de datos está escondido precisamente en el requisito de derechos de autor. Anteriormente, el archivo robots.txt era un acuerdo de caballeros: ignorarlo violaba las reglas del sitio, pero en sí mismo no se consideraba una violación de la ley. Ahora, bajo el paraguas del artículo 4 de la Directiva 2019/790, la reserva de derechos legible por máquina — robots.txt, el nuevo estándar ai.txt, etiquetas TDM — adquiere peso de derechos de autor. El titular de derechos que ha expresado la exclusión de la minería de datos en forma legible por máquina está, de hecho, protegido por derechos de autor contra el uso de su contenido para el entrenamiento.
Para estandarizar estas señales, la Comisión Europea ha lanzado una consulta sobre protocolos de reserva de derechos: la tarea es acordar un formato legible por máquina que sea reconocido como "estado de la industria" y ampliamente aceptado por los titulares de derechos. En otras palabras, la UE está construyendo un lenguaje jurídicamente significativo de exclusión de scraping para el entrenamiento de IA.
Contexto: las plataformas ya han pasado a la ofensiva
El reglamento se aplica a un mercado que ya está en conflicto. En julio de 2025, Cloudflare, que protege alrededor del 20% de la web, se convirtió en el primer proveedor de infraestructura que bloquea por defecto a los crawlers de IA para todos los nuevos dominios — ahora el propietario del sitio debe permitir explícitamente a bots específicos. Para agosto de 2025, más de 2,5 millones de sitios han prohibido completamente el uso de su contenido para el entrenamiento de IA; solo el GPTBot es bloqueado por aproximadamente el 19% de los sitios. Entre los crawlers más bloqueados se encuentran GPTBot, ClaudeBot, CCBot, Google-Extended y Bytespider.
Sin embargo, la brecha es colosal: según Cloudflare, los bots de IA acceden a aproximadamente el 39% de los top 1 millón de recursos de la red, pero solo 2,98% de ellos realmente bloquean o desafían tales solicitudes. Paralelamente, Cloudflare ha lanzado el modelo Pay Per Crawl — el sitio responde a los bots con "402 Payment Required", y las empresas de IA pagan por el acceso. La recopilación de datos de un "todo permitido" gratuito se convierte en un mercado con precio.
El frente legal no se queda atrás. Reddit ha presentado demandas contra Perplexity AI y sus recolectores y proveedores de proxy asociados (SerpApi, Oxylabs, AWMProxy), y su principal abogado ha formulado la esencia del conflicto de manera contundente: "Las empresas de IA están atrapadas en una carrera armamentista por contenido humano de calidad, y esta presión ha generado una economía de lavado de datos a escala industrial". Al mismo tiempo, Reddit ha firmado acuerdos de licencia con OpenAI y Google — es decir, los datos se venden a quienes pagan, y se persigue a quienes los obtienen gratis. LinkedIn, en una demanda separada, acusó a la empresa ProAPIs de crear alrededor de un millón de cuentas falsas para scraping y reventa de perfiles a un precio de hasta $15,000 al mes.
Qué significa esto para quienes recopilan datos
Lo primero y más importante — sin pánico. La Ley de IA de la UE no prohíbe el scraping web como tal y no convierte la recopilación de datos públicos en un delito. El reglamento apunta específicamente a los proveedores de modelos de IA y sistemas de alto riesgo. Si usted monitorea precios de competidores, recopila datos para análisis SEO, verifica resultados o agrega reseñas públicas, no se convierte en un "proveedor de GPAI" y no está directamente sujeto a las nuevas obligaciones.
A quién afecta realmente la Ley
Están en la mira aquellos que entrenan o reentrenan grandes modelos con datos recopilados y los ofrecen en el mercado de la UE. Para ellos, la publicación de un resumen de los datos de entrenamiento y el respeto a las exclusiones de TDM se convierten en un requisito legal con multas reales. Si su scraping es un eslabón en la cadena de entrenamiento del modelo, las fuentes deberán ser documentadas y las prohibiciones legibles por máquina deberán ser cumplidas.
Cómo recopilar datos de manera adecuada
El segundo efecto — indirecto, pero afectará a todos. Cuanto más peso legal obtengan las exclusiones legibles por máquina y cuanto más agresivas sean las plataformas al bloquear el tráfico automático, mayor será el umbral para cualquier recopilación de datos. Conclusiones prácticas:
- Lea robots.txt y las etiquetas TDM y tome decisiones informadas al respecto. Ignorar una exclusión legible por máquina ahora no solo es un riesgo de baneo, sino también una potencial historia de derechos de autor, especialmente si los datos se utilizan para entrenar un modelo.
- Separe las tareas. La recopilación de hechos públicos (precios, disponibilidad, calificaciones) y la copia de contenido protegido por derechos de autor para entrenamiento son cosas legalmente diferentes. Organice los procesos de manera que no se mezclen.
- Minimice la carga y no se haga pasar por un usuario real donde esto pueda ser engañoso. La historia de un millón de cuentas falsas en LinkedIn es un ejemplo claro de cómo los métodos "grises" se convierten en demandas.
- Utilice una infraestructura de acceso legal. Cuando la recopilación de datos se realiza de manera distribuida y con IP de usuarios reales, genera menos carga en un nodo específico y no parece un ataque desde un solo centro de datos. Los proxies residenciales ofrecen tráfico indistinguible del de un usuario normal, y para tareas de alta carga, donde no se necesita la máxima "humanidad", son adecuados los proxies de centro de datos más rápidos.
También es importante recordar el panorama general del tráfico: ya hemos analizado cómo los bots superaron por primera vez a los humanos en internet — este cambio es lo que lleva a las plataformas a cerrarse. Y para trabajar prácticamente con plataformas específicas, es útil nuestro análisis sobre scraping seguro de X (Twitter) sin baneos: los mismos principios — respetar las limitaciones, distribuir las solicitudes, utilizar IP de confianza — funcionan también en esta nueva realidad regulatoria.
Conclusión
El 2 de agosto de 2026 no es el "fin del scraping", sino un punto después del cual la recopilación de datos se divide definitivamente en dos caminos. La recopilación documentada, que respeta las exclusiones legibles por máquina y trabaja con datos públicos — se convierte en la norma y en una protección. La recopilación oculta, que elude prohibiciones explícitas y se hace pasar por usuarios para entrenar modelos — corre el riesgo de multas de hasta €15 millones o el 3% de la facturación y demandas de las plataformas. La Ley de IA de la UE no cierra la puerta — traslada la recopilación de datos del "campo salvaje" a un modo donde las reglas finalmente tienen un precio. Y ganan aquellos que reestructuran sus procesos con anticipación, y no una semana antes de la fecha límite.
```